Brytyjskie biuro komisarza ds. informacji, Information Commissioner’s Office (ICO), poinformowało, że zamierza nałożyć karę grzywny na linie lotnicze British Airways w wysokości 183 mln funtów za zeszłoroczny wyciek danych. Kwota ta jest kilkaset razy wyższa niż grzywna, jaką nałożyła Unia Europejska na Facebooka za sprawę z Cambridge Analytica. Zobaczmy, co się stało, skąd wynika tak duża różnica w wysokości kary finansowej oraz dlaczego warto zawczasu zadbać o ochronę danych.
Wyciek danych w liniach British Airways — jak to się stało?
Minionej jesieni linie lotnicze British Airways poinformowały, że od 21 sierpnia do 5 września osoby postronne uzyskały dostęp do danych użytkowników, którzy kupili lub dokonali na nich zmian za pośrednictwem firmowej strony internetowej i aplikacji mobilnej. Atakujący ukradli informacje od około 500 tysięcy klientów. Obejmowały one wszystko, co ofiary wprowadziły w polach formularza internetowego: nazwy użytkowników i hasła, imiona, nazwiska, adresy, dane kart bankowych — w tym kody CVC — itp.
Po zakończeniu dochodzenia oświadczono, że firma British Airways została zaatakowana przez ugrupowanie cyberprzestępcze Magecart, znane ze wstrzykiwania szkodliwych skryptów w strony internetowe z branży handlu elektronicznego w celu kradzieży danych finansowych. Mimo że intruzi zainfekowali stronę internetową wspomnianej firmy, ucierpieli również użytkownicy aplikacji mobilnej, ponieważ aplikacja ładowała pewne funkcje bezpośrednio ze strony.
Grzywna od RODO
Chociaż firma British Airways zgłosiła incydent odpowiednio wcześnie i pomogła w przeprowadzeniu śledztwa, musi zapłacić karę finansową. Według przepisów rozporządzenia RODO firma, która przetwarza dane osobowe obywateli Europy, musi zrobić wszystko, co tylko można, aby zapewnić im bezpieczeństwo. Jak wykazało śledztwo, strona internetowa tej firmy nie była wystarczająco dobrze zabezpieczona. Naturalnie po incydencie przewoźnik wprowadził nowe środki ochronne, jednak nie zmienia to fakt, że jest odpowiedzialna za zaistniały incydent.
Na serwis Facebook, któremu skradziono dane dotyczące 87 mln użytkowników, nałożono w Europie karę w wysokości zaledwie 500 tys. funtów. Zgodnie z wymogami brytyjskiej ustawy „Data Protection Act 1998” — prekursora RODO — była to maksymalna możliwa do nałożenia kara.
Implementacja ochrony kosztuje mniej niż potencjalna grzywna
Potencjalna grzywna dla organizacji BA za zeszłoroczny wyciek nie jest niczym nadzwyczajnym: ICO rozważy wnioski od innych europejskich organów ochrony danych oraz od British Airways. Niemniej jednak kwota ta jest orientacyjna. Implementowanie odpowiednich środków ochronnych i zapobieganie wystąpieniu takich incydentów jest znacznie tańsze. Jeśli przetwarzasz dane osobowe użytkowników z Europy, zwłaszcza szczegóły płatności bankowych, zalecamy niezwłoczne podjęcie odpowiednich działań.
Prewencyjna ochrona jest szczególnie istotna dla usług z sektora e-commerce i bankowości online, które szczególną uwagę muszą zwracać na zabezpieczenie swoich stron internetowych przed szkodliwymi skryptami. W naszej platformie Kaspersky Fraud Prevention znajduje się rozwiązanie o nazwie Automated Fraud Analytics, które umożliwia analizowanie zdarzeń występujących na stronie internetowej w takcie sesji użytkownika. Potrafi ono rozpoznawać różne zagrożenia internetowe, w tym wstrzykiwanie szkodliwych skryptów. Więcej informacji na temat tego rozwiązania znajduje się w sekcji Fraud Prevention naszej firmowej strony.